Click to edit Master title style,Page,*,|,Click to edit Master text styles,Second level,Third level,PaloAltoNetworks,解决方案综述,中国区技术经理,1,PaloAltoNetworks1,议题,公司简介,解决方案优势及特性,案例分享,2,议题公司简介2,关于,Palo Alto Networks,2005年，由极具远见的安全领导者Nir Zuk先生(Checkpoint Stateful Inspection Inventor;first IDP company,OneSecure co-founder,CTO of Netscreen and Juniper)和前Netscreen及Juniper的首席架构师毛宇明先生创办。,世界级技术队伍，具有丰富的安全与网络经验；顶级投资团队,是硅谷著名的公司，很多大公司全球范围部署我们产品，全球,50,多个国家,3000,个客户，提供,7,24,小时服务,下一代防火墙,(NGFW)&,应用层安全平台。在应用识别与控制（大于,1000,个应用识别）和威胁防范上具有强大优势,被,Gartner,评为最具远见厂商,NYSE SYMBOL:PANW,市值超过,40,亿美金,3,关于Palo Alto Networks2005年，由极具远,2011 Magic Quadrant for Enterprise Network Firewalls,Source:Gartner,December 14,2011,Palo Alto Networks,公司的下一代防火墙正在领导着市场技术方向,Gartner,指出,:,“,Palo Alto Networks,公司正在领导防火墙市场发展方向，因为他们定义了下一代防火墙产品标准，迫使竞争对手改变产品路线和销售策略。,”,4,2011 Magic Quadrant for Enterp,2012 Magic Quadrant for Enterprise Network Firewalls,Source:Gartner,Feb 7,2013,“Palo Alto Networks continues to both drive competitors to react in the firewall market and to move the overall firewall market forward.It is assessed as a Leader,mostly because of its NGFW design,direction of the market along the NGFW path,consistent displacement of competitors,rapidly increasing revenue and market share,and market disruption that forces competitors in all quadrants to react.”,Gartner,February 2013,5,2012 Magic Quadrant for Enterp,Internet,增加更多的设备并不能解决问题,网络结构复杂,管理成本增加,性能下降,难以定位故障,仍然无法对应用识别,网络依然很慢 威胁依然很多,可用吗？实用吗？,6,Internet增加更多的设备并不能解决问题网络结构复杂网络,互联网,UTM,同样混乱,.,结果也只是导致处理速度更慢,无法解决问题,防火墙,“,助手,”,功能对流量的查看有限,启动流量查看功能，却又会影响性能,7,互联网UTM同样混乱.结果也只是导致处理速度更慢无法解决,应用程序已发生变化,-,而防火墙却依然如故,在受信边界处的适当位置设置策略，实施策略控制,查看所有流量,定义受信边界,需恢复对应用程序的可视性与控制性,8,应用程序已发生变化-而防火墙却依然如故在受信边界处的适当位置,Palo Alto Networks,安全应用平台,9,Palo Alto Networks安全应用平台9,Palo Alto Networks,技术可满足客户需求,SP3,架构,App-ID,Content-ID,User-ID,10,Palo Alto Networks技术可满足客户需求SP3,单通道平行处理,(SP3),架构,单通道,对各数据包仅执行一次扫描,流量分类（应用程序识别）,用户,/,群组映射,内容扫描,威胁、,URL,及保密数据,单一策略,平行处理,特定功能硬件引擎,独立的数据,/,控制平面,高达,10Gbps,吞吐量、低延时,11,单通道平行处理(SP3)架构单通道高达10Gbps吞吐量、,应用程序、用户与内容的可视性,应用命令中心（,ACC,）,查看应用程序、,URL,、威胁及数据过滤活动,挖掘,ACC,数据、并因要获得所需结果而增加,/,拆除过滤器,删除,Skype,，进一步查看,hzielinski,活动,对,Skype,程序 及用户,hzielinski,过滤,对,Skype,程序进行过滤,12,应用程序、用户与内容的可视性应用命令中心（ACC）删除Sky,针对中国大陆特别优化,13,针对中国大陆特别优化13,灵活的策略控制响应,直观式策略编辑器可利用灵活策略响应执行适当的使用策略,14,灵活的策略控制响应 直观式策略编辑器可利用灵活策略响应执行适,便捷的接入方式,15,便捷的接入方式15,流量整形扩展了策略控制方案,流量整形策略可确保业务应用程序不会遭遇带宽瓶颈,具有保障型及最高带宽设置,灵活的优先级分配、硬件加速队列,对应用、用户、源、目的地、接口、,IPSec VPN,通道及其它内容执行基于策略的流量整形,可以更高效的方式部署适当应用程序使用策略,均集成在,PAN-OS,系统特性中，无需另外付费,16,流量整形扩展了策略控制方案流量整形策略可确保业务应用程序不会,我们研究团队发现的威胁,我们的研究团队是“活跃的”,许多的,IPS,厂商有很大的研究团队为“书写签名”,我们的研究团队也“发现”漏洞的零日防护,在过去的,4,年中发现微软漏洞,在过去的,4,年中发现的,Adobe,漏洞,Source:OSVDB;as of June 15th 2011,Source:OSVDB;as of August 15th 2011,17,我们研究团队发现的威胁我们的研究团队是“活跃的”在过去的4年,WildFire云查杀，零时刻响应,18,WildFire云查杀，零时刻响应18,Malware Analysis,19,Malware Analysis19,20,20,21,21,数据中心安全,高可用性,低延时,高性能,全流量,线速,威胁防护,基于用户权限管理,应用识别、控制,虚拟化安全防护,22,数据中心安全高可用性22,处理企业数据中心的安全性的传统方式（1）：,Data Center A,总部,分支机构,A,分支机构,B,LAN,WAN,WAN,app,DB,web,23,处理企业数据中心的安全性的传统方式（1）：Data Cent,处理企业数据中心的安全性的传统方式（2）：,app,DB,web,总部,分支办公室,A,分支办公室,B,LAN,WAN,WAN,Data Center A,24,处理企业数据中心的安全性的传统方式（2）：appDBweb总,看上去不错?,Web Services,Finance,Sales,IT,Data Center A,DB,Microsoft Services,25,看上去不错?Web ServicesFinanceSales,在现实中.,Port 80/443,192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,Data Center A,Port 1521,100 ports,26,在现实中.Port 80/443192.168.1.0/,更糟糕的是，如果.,Port 80/443,192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,Data Center A,Port 1521,100 ports,Partners and Contractors,Webex,SSH,SSL,RDP,Management Only Server,27,更糟糕的是，如果.Port 80/443192.168.,MRTG在大多数的数据中心仍是唯一的工具,这些数字能告诉你什么,?,智能吗,?,28,MRTG在大多数的数据中心仍是唯一的工具这些数字能告诉你什么,带宽/性能监控工具是不够的,用户,/,用户组？,蛮力攻击？,缓冲区溢出攻击？,加密的流量？,你可以使用相同的工具来实现控制呢？,29,带宽/性能监控工具是不够的用户/用户组？29,IPS 虽然好，但是不可能在所有地方部署,你需要多少,IPS,吗？,你需要多少投资？,你怎么能匹配所有的,IPS,设置和防火墙策略？,冗余？,IDS,不是,IPS,，它也不可以应对,UDP,和突发流量,30,IPS 虽然好，但是不可能在所有地方部署你需要多少IPS吗？,数据中心安全物理边界安全,我们的解决方法：,低延时、高性能硬件平台,全流量线速威胁防护,基于用户权限管理,应用识别、控制,虚拟化安全防护,31,数据中心安全物理边界安全我们的解决方法：31,DB,Web,App,Traditional,Data Center,Current,Data Center,DB,Web,App,Future,Data Center,VM,Sharepoint,SQL,AD,FW,URL,AV,IPS,Virtualized Server,数据中心安全虚拟化安全,无需昂贵、低效的拼凑式传统解决方案，选择,Palo Alto Networks,一站式解决新一代数据中心安全问题。,防火墙,入侵检测,防病毒,应用、用户控制,统一策略、日志、报表管理,32,DBWebAppTraditional Data Cente,Panorama集中管理,33,Panorama集中管理 33,多客户环境的虚拟系统,虚拟系统能够把同一个硬件系统分割成各自独立平台,托管服务,部门服务,/,分离,基础设施整合，职责和组织结构分离,集中管理,基于角色的管理,更高效的运行,低成本,可在,PA-5000,系列、,PA-4000,系列和,PA-2000,系列平台实现,34,多客户环境的虚拟系统虚拟系统能够把同一个硬件系统分割成各自独,灵活的部署选项,可视性,透明串行,更换防火墙,具有应用程序、用户与内容的可视性，无需串行部署,具有应用程序可视性与控制性的,IPS,集成了,IPS&URL,过滤,用对应用程序的可视性与控制特性替代防火墙,防火墙,+IPS,防火墙,+IPS+URL,过滤,35,灵活的部署选项可视性透明串行更换防火墙具有应用程序、用户与内,Palo Alto Networks Next-Gen Firewalls,PA-3020,2 Gbps FW/1 Gbps threat prevention/250,000 sessions,8 SFP,12 copper gigabit,PA-3050,4 Gbps FW/2 Gbps threat prevention/500,000 sessions,8 SFP,12 copper gigabit,PA-2050,1 Gbps FW/500 Mbps threat prevention/250,000 sessions,4 SFP,16 copper gigabit,PA-2020,500 Mbps FW/200 Mbps threat prevention/125,000 sessions,2 SFP,12 copper gigabit,PA-500,250 Mbps FW/100 Mbps